Le phishing est l’une des formes de cyberattaques les plus répandues aujourd’hui. Elle consiste à collecter des données personnelles et informations sensibles d’une entreprise ou d’une personne à des fins frauduleuses. Le phishing peut prendre diverses formes, notamment celle d’un SMS. On parle dans ce cas de smishing. Quelles sont les caractéristiques du smishing ? Comment s’en prémunir ?
Le smishing : définition et facteurs favorables
Avec un taux d’ouverture moyen de plus de 95%, le SMS est l’un des outils marketing les plus utilisés par les entreprises aujourd’hui. L’inconvénient est que les hackers choisissent également de plus en plus ce moyen pour diriger des cyberattaques contre les entreprises (cas rares, mais pas inexistants) ou les particuliers. Cette arnaque au SMS est appelée smishing. Le smishing est une forme de phishing axé SMS. Il consiste à envoyer un SMS incitant son destinataire à cliquer sur un lien, télécharger un programme malveillant ou fournir des informations bancaires. Dans la plupart des cas, le SMS véhicule un message alarmiste, un risque imminent qui ne saurait être contré que si le destinataire effectue l’une des actions citées précédemment.
En plus de cette définition du smishing, cette forme de cyberattaque s’est fortement popularisée aujourd’hui. De nombreux facteurs ont favorisé cela. Tout d’abord il faut noter l’absence de restriction dans l’envoi des SMS. En absence de filtres antispam pour smartphone, n’importe qui peut en effet envoyer un SMS à quelqu’un, peu importe où il se trouve dans le monde. De plus, les personnes dans leur grande majorité ont développé une confiance vis-à-vis des SMS. En témoigne leur taux d’ouverture au-delà de 90%. Enfin, compte tenu de cette confiance, les destinataires sont moins réticents à cliquer sur un lien inséré dans un SMS que sur un autre dans un email qu’il estime plus dangereux. Or, le risque est le même et présent partout.
De plus, sur smartphone, il y a peu de marge de manœuvre pour identifier une cyberattaque contrairement à un ordinateur. Après réception d’un lien par SMS, le smartphone n’offre pas vraiment de possibilité pour le survoler au point d’en déterminer l’expéditeur. L’exposition aux attaques est donc plus ou moins importante.
Le smishing : exemple d’un mode opératoire
À quelques détails près, le smishing reconduit le mode opératoire du phishing par email. Ici, les hackers misent sur la réactivité des destinataires à ouvrir un SMS qui leur paraît en tout point fiable et authentique. Généralement, le message semble provenir d’un tiers de confiance : banque, assurance, poste, fournisseurs d’énergie ou d’accès à internet, etc. Il intègre généralement un lien sur lequel on est invité à cliquer pour télécharger une nouvelle application.
Une fois que l’on clique sur le lien, on est redirigé vers une page d’apparence officielle. Un bouton est alors présent afin de télécharger une application. Tout est bien ficelé afin de ne pas se rendre compte de la supercherie. Une fois la supposée application téléchargée, il sera question de fournir ses données personnelles pour la configurer. Une fois cette étape franchie, les données renseignées seront automatiquement récupérées par le pirate qui peut contourner les différentes authentifications et prendre le contrôle de l’appareil. C’est en fait le téléchargement de la fausse application qui entérine l’attaque.
Phishing par SMS : astuces pour s’en prémunir
Il existe plusieurs astuces pour reconnaître le smishing et s’en prémunir.
Identifier les signes caractéristiques d’un SMS frauduleux
La première astuce est sans doute la vigilance. Le SMS frauduleux, la plupart du temps non sollicité, s’insère en effet facilement dans le fil de discussion d’une entreprise officielle qui envoie régulièrement des SMS. C’est souvent le cas quand le nom de l’entreprise n’est pas sécurisé. La vigilance permettra également de faire attention à des signes plus concrets. Très souvent, le SMS provient d’un numéro (généralement long) que l’on ne connaît pas, s’il ne prend pas le nom d’un tiers de confiance. De même, ce type de message propose bien souvent des offres promotionnelles, des prix à gagner si des coordonnées bancaires ont été fournies. Ils mettent également en avant un caractère alarmiste, impératif ou urgent : « Urgent ! », « Officiel ! », « Répondez vite ! ».
Avoir les bons réflexes
Peu importe l’authenticité apparente qu’un SMS puisse avoir, il est important de vérifier l’orthographe et la grammaire. Généralement, les hackers opèrent à l’international. Ils utilisent donc des traducteurs automatiques. De même, évitez de cliquer sur le lien qui y est inséré, encore moins de fournir des informations bancaires, des numéros de compte ou des données de paiement. Si le message semble provenir d’une source officielle, il s’agira de la contacter par les canaux que l’on utilise habituellement. S’il s’agit d’un numéro, il est possible de le rechercher sur internet pour savoir s’il a une fois déjà été associé à une arnaque. Pour finir, il sera question d’installer un antivirus sur le smartphone et de mettre régulièrement à jour les applications et le système d’exploitation.